Le protocole USPD a subi une attaque sophistiquée, entraînant la perte d’environ 232 stETH ; l’attaquant a frappé 98 millions de tokens USPD.

Selon ChainCatcher, le protocole USPD a publié une alerte de sécurité d'urgence, confirmant que son protocole a été victime d'une grave faille de sécurité, entraînant une émission non autorisée de tokens et l'épuisement de la liquidité.

L'attaquant a exploité une technique avancée appelée “CPIMP”, exécutant en priorité l'initialisation du proxy lors du déploiement afin d'obtenir des droits d'administrateur cachés. En installant une implémentation “fantôme” et en manipulant les données des événements, l'attaquant a réussi à contourner les outils de vérification, y compris Etherscan, et, après être resté caché pendant plusieurs mois, a utilisé ces privilèges pour émettre environ 98 millions de tokens USPD et dérober environ 232 stETH. L'équipe USPD collabore avec les forces de l'ordre et des organisations de sécurité pour marquer les adresses de l'attaquant afin de geler les fonds, tout en proposant de considérer l'incident comme une opération de white hat : si 90% des fonds sont restitués, les actions en justice seront abandonnées.